Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Ответы на экзамен ТСЗИ.docx
Скачиваний:
572
Добавлен:
13.03.2016
Размер:
227.48 Кб
Скачать

37 Стадия проектирования (разработки проектов) и реализации защиты информации на объекте информатизации.

Содержание работ на стадии проектирования и создания объекта информатизации и системы защиты информации в его составе

На стадии проектирования и создания объекта информации и системы защиты информации в его составе на основе предъявленных требований и заданных заказчиком ограничении на финансовые, материальные, трудовые и временные ресурсы осуществляются следующими мероприятиями:

• Разработку задания и проекта на строительные, строительно-монтажные работы (реконструкцию) объекта информатизации с учетом требований технического задания на разработку системы защиты информации;

• Разработку раздела технического проекта на объект информатизации в части защиты информации;

• Строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;

• Разработку организационно-технических мероприятий по защите информации в соответствии с предъявленными требованиями;

• Закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации либо их сертификации;

• Закупка сертифицированных технических средств защиты информации программных и программно-технических средств защиты информации и их установка;

• Разработка, доработка или закупка и последующая сертификация по требованиям безопасности информации, программных средств защиты информации в случае, когда на рынке отсутствует требуемые сертифицированные программные средства;

• Организация охраны и физической защиты помещений объекта информатизации, исключая несанкционированный доступ к техническим средствам обработки, ранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;

• Разработка и реализация разрешительной системы доступа пользователей и эксплуатации персонала к обрабатываемой (обсуждаемой) на объекте информатизированной информации;

• Выполнение инсталляции пакета прикладных программ в комплексе с программными средствами;

• Разработка эксплуатации документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказы, инструкции и другие документы);

• Выполнение других мероприятий специфичных для конкретных объектов информатизации и направлений защиты информации.

Техническое задание на проектирование объекта информатизации оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности организации-заказчика в части достаточности мер по технической защите информации и утверждается заказчиком.

Мероприятие по защите информации от утечки по техническим каналам относятся основным элементам проектных решений, которые включаются в соответствующие разделы проекта и разрабатываются одновременно с ними.

38 Стадия ввода в действие сзи (опытная эксплуатация и приемо-сдаточные испытания средств защиты информации, аттестация объекта информатизации на соответствие требованиям безопасности информации).

На стадии проектирования и создания объекта информатизации оформляются также технический (технорабочий) проект и эксплуатационная документация системы защиты информации, состоящая из следующих документов:

• Пояснительной записки с изложением решений по комплексу организационных мер и программно-техническим средствам обеспечения безопасности информации, составу средств защиты информации с указанием их соответствия требованиям ТЗ;

• Описание технического, программного информационного обеспечения и технологии обработки (передачи) информации;

• Плана организационно-технических мероприятий по подготовки объекта информатизации к внедрению средств и мер защиты информации;

• Технического паспорта объекта информатизации (формы технических паспортов на автоматизированные системы и защищенные помещения приведены в СТР-К);

• Инструкций и руководств по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для сотрудников службы безопасности.

^ На стадии ввода в действие объекта информатизации и системы защиты информации осуществляются:

• Опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;

• Приемосдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемосдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;

• Аттестация объекта информатизации по требованию безопасности информации.

На стадии ввода в действие объекта информатизации и системы защиты информации оформляются:

• Акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний;

• Протоколы аттестационных испытаний и заключение по их результатам;

• Аттестат соответствия объекта информатизации требованиям по безопасности информации (формы «аттестатов соответствия» для автоматизированных систем и защищенного помещения приведены в приложениях СТР-К).

^ Кроме вышеуказанной документации в организации оформляются приказы, указания и решения:

• На проектирование объекта информатизации и назначение ответственных исполнителей;

• На проведение работ по защите информации;

• О назначении лиц, ответственных за эксплуатацию объекта информатизации;

• На обработку в защищенном помещении (обсуждение) или в автоматизированной системе конфиденциальной информации.

Эксплуатация объекта информатизации осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией с учетом требовании и положений СТР-К по защите речевой конфиденциальной информации и обрабатываемой в автоматизированных системах. С целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к ней и предотвращение специальных программно-технических воздействий, вызывающих нарушение конфиденциальности, целостности или доступности информации, в организации проводятся периодический (не реже 1 раза в год) контроль состояния защиты информации. Контроль осуществляется службой безопасности информации.

^ Отраслевыми и федеральными органами контроля состояния защиты информации проводится не реже 1 раза в 2 года и заключается в оценке:

• Соблюдение требований нормативно-методических документов по защите информации;

• Работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;

• Знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.

Собственник или владелец конфиденциальной информации имеет право обратиться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах.

При необходимости по решению руководителя организации могут быть проведены работы по поиску электронных устройств съема информации (закладочных устройств), возможно внедренных в защищенное помещение или технические средства, осуществляемые организациями, имеющие у себя соответствующие лицензии ФСБ России.

В организациях Минобороны России работы по поиску электронных устройств съема информации (закладочных устройств) возможно внедренных в защищенное помещение или технические средства могут производится подразделениями, допущенными к проведению тих работ в установленном порядке.

^ Аттестация объекта информатизации – комплекс организационно-технические мероприятий, в результате которых посредством специального документа – аттестата соответствия подтверждается, что объект соответствует требованиям стандартов и иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации.

^ Требования и рекомендации по защите речевой конфиденциальной информации

Утечка речевой информации возможна за счет следующих каналов:

• Акустического излучения информативного речевого сигнала;

• Виброакустических сигналов, возникающих посредствам преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические системы в защищенных помещениях;

• Прослушивание разговоров, ведущихся в защищенных помещениях по информационным каналам общего пользования (городская телефонная сеть, сотовая, транкинговая (т.е. циркулярная) и пейджинговая связь, радиотелефон) за счет скрытного подключения оконечных устройств этих видов связи;

• Электрических сигналов, возникающих в результате преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющихся по проводам и линиям передачи информации, выходящим за пределы контролируемой зоны;

• Побочных электромагнитных излучений информативного сигнала от обрабатывающих информацию технических средств, в том числе возникающих за счет паразитной генерации и линий передачи информации;

• Электрических сигналов, наводимых от обрабатывающих информацию технических средств и линий ее передачи, на провода и линии, выходящие за пределы контролируемой зоны;

• Радиоизлучений, модулированных информативным сигналом, возникающих при работе различных генераторов, входящих в состав технических средств, установленных в защищенном помещении или при наличии паразитной генерации в их узлах (элементах);

• Радиоизлучений, электрических или инфракрасных сигналов, модулированных информативным сигналом от специальных электронных устройств съема речевой информации (закладочных устройств), закладываемых в защищенное помещение, технические средства и системы обработки информации.

Также следует учитывать возможность хищения технических средств с хранящейся в них записанной речевой информации или отдельных носителей с такой информацией.

Основные требования и рекомендации по защите речевой информации, циркулирующей в защищаемых помещениях

Защищаемые помещения должны размещаться в пределах контролируемой зоны организации. Рекомендуется размещать их на максимальном удалении от ее границ; ограждающие конструкции защищенных помещений (стены, полы, потолки) не должны являться смежными с помещениями других организаций. Не рекомендуется располагать защищенные помещения на первых этажах зданий. Окна защищенных помещений рекомендуется закрывать шторами или жалюзи.

Защищаемые помещения оснащаются сертифицированными по требованиям безопасности информации ОТСС и ВТСС или соответствующими средствами защиты. эксплуатация ОТСС, ВТСС и средств защиты должна осуществляться в соответствии с эксплуатационной документации на них.

Специальная проверка защищенного помещения и установленного в нем оборудования возможна внедренных в них электронных устройств съема информации (закладок) проводится при необходимости по решению руководителя организации.